СТО БР ИББС-1.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности

6. Менеджмент программы аудита
 информационной безопасности

6.1. Программа аудита ИБ включает деятельность, необходимую для планирования и организации определенного количества аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов ИБ в заданные сроки.

Программа аудита ИБ разрабатывается организацией БС РФ. В общем случае могут быть разработаны несколько программ аудита ИБ.

Рекомендованная последовательность процессов менеджмента программы аудита ИБ представлена на рисунке 1.

________________

Последовательность процессов менеджмента программ аудита гармонизирована с моделью менеджмента ИБ, определенной разделом 5 СТО БР ИББС-1.0 и положениями международного стандарта [1].

6.2. Руководство организации БС РФ должно распределять полномочия и ответственность за управление программой аудита ИБ.

Ответственные за управление программой аудита ИБ лица должны иметь представление о принципах аудита ИБ, компетентности аудиторов, содержании этапов аудита ИБ, а также обладать знаниями по обеспечению ИБ.

Ответственные за управление программой аудита ИБ лица должны:

- разрабатывать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ;

- определять потребность программы аудита ИБ в ресурсах;

- способствовать принятию решений об обеспечении программы аудита ИБ необходимыми ресурсами.

6.3. Разработка программы аудита ИБ должна включать в себя определение целей, объема программы, а также необходимых финансовых, информационных и людских ресурсов для ее реализации.

Рисунок 1. Последовательность процессов менеджмента программы аудита ИБ

Целью программы аудита ИБ является оценка соответствия ИБ организации БС РФ критериям аудита и содействие в повышении при необходимости уровня ИБ организации БС РФ.

На объем программы аудита ИБ влияют размер и сложность структуры организации БС РФ, область каждого аудита ИБ и частота проводимых аудитов ИБ.

6.4. Внедрение программы аудита ИБ должно включать в себя:

- доведение программы аудита ИБ до участвующих в ее реализации сторон;

- планирование аудитов ИБ;

- определение привлекаемых аудиторских организаций и предоставляемых ресурсов для проведения аудитов ИБ;

- проведение аудитов ИБ в соответствии с программой аудита ИБ;

- анализ и утверждение отчетов по результатам аудитов ИБ;

- определение действий по результатам аудитов ИБ.

6.5. В организации БС РФ должны проводиться контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. О результатах анализа должно информироваться руководство организации БС РФ.

Контроль и анализ программы аудита ИБ должны включать в себя: